Безпека в мережі: як Україна регулюватиме кіберпростір

Після масштабних кібератак, які були здійснені минулого року на багато українських компаній і державні інституції, Україна серйозно замислилась над регулюванням сфери кіберзахисту. Так, у жовтні 2017 року Верховна Рада ухвалила відповідний закон «Про основні засади забезпечення кібербезпеки України», який набрав чинності 9 травня. Документ визначає основи забезпечення захисту національних інтересів України в кіберпросторі, основні цілі, напрямки та принципи державної політики у сфері кібербезпеки, а також повноваження державних органів у цій сфері, основні принципи координації їх діяльності щодо забезпечення кібербезпеки.

Як закон застосовуватиметься на практиці та як буде забезпечено безпеку в цій сфері, Mind розповіли експерти «Делойт» в Україні – старший менеджер Департаменту консалтингу Андрій Красний, старший консультант Департаменту консалтингу Андрій Зимарин, консультант Департаменту комплексних трансформацій бізнесу «Делойт» в Україні Ірина Мягка та консультант Податково-юридичного департаменту «Делойт» в Україні Марія Полєтаєва.

9 травня в Україні набирає чинності закон «Про основні засади забезпечення кібербезпеки України». Символічний такий збіг дат чи ні, саме прийняття цього нормативно-правового акта означає для України закріплення на законодавчому рівні понятійного апарату з приставкою «кібер» і початок регулювання цифрової економіки в цілому.

Закон розширив і доповнив положення Стратегії кібербезпеки України, затвердженої указом президента у 2016 році. Метою стратегії було створення умов для безпечного функціонування кіберпростору, його використання в інтересах особистості, суспільства і держави. При цьому основний масив положень стратегії стосується сфери національної оборони і не зачіпає бізнес. Стратегія стала підтвердженням прийнятого Україною курсу на євроінтеграцію, початком якого було підписання і ратифікація Україною Конвенції про кібербезпеку. Держави – члени Ради Європи та деякі інші держави, які підписали конвенцію, взяли на себе зобов'язання ужити загальних та індивідуально-країнових заходів для запобігання злочинів у цифровій сфері.

Основним досягненням закону «Про основні засади забезпечення кібербезпеки України» є імплементація в правове поле визначень, що стосуються кібербезпеки, кібератак і кіберзахисту, і більшого наразі очікувати від нього не варто. З іншого боку, було б не зовсім правильно розглядати цей закон з точки зору порівняння його з існуючим регулюванням у галузях з 20–25-річною історією розвитку нормативної бази. Закон про кібербезпеку – це перші та дуже важливі кроки держави у сфері регулювання кіберпростору. Крім того, у законі є і положення, які концептуально зачіпають не тільки компанії державного сектора, але і приватний бізнес. Вводиться поняття «критична інформаційна структура», об'єкти якої будуть зобов'язані проходити обов'язковий аудит з кібербезпеки і відповідати інфраструктурним вимогам Кабміну.

Тверезо оцінюючи ситуацію, ми розуміємо, що прийняттю закону більшою мірою сприяла не світова спільнота, а історія, яка сталася у 2017 році та набула величезного світового резонансу. Крім того, вона змусила українські компанії звернути серйозну увагу на безпеку цифрової інфраструктури і подумати про вжиття заходів щодо її захисту.

Влітку минулого року по Україні хвилею пронеслася кібератака відомого Petya/Nyetya, яка завдала значних збитків державному сектору і бізнесу, фактично заморозивши бізнес-процеси в країні на декілька днів. З упевненістю можна констатувати, що від вірусу постраждало більше половини українських компаній, і йдеться не лише про невеликі збої в роботі мереж, а про втрату великих обсягів даних і фінансової звітності за кілька звітних періодів. Терміни відновлення компаній варіювалися від декількох днів до місяця, а в окремих випадках і довше.

Хто винен в ситуації, яка склалася? Думка експертів – усі. У нашій країні на той момент не було ані необхідного законодавчого регулювання кібербезпеки, ані, що найважливіше, достатніх знань про важливість захисту даних у людей, які керують бізнесом і країною. Так, в Україні було відсутнє поняття «інформаційної безпеки» як такого. З останніми кібератаками могли впоратися тільки компанії з найвищим рівнем кібербезпеки, яких в Україні, на жаль, не так багато.

Аналізуючи наслідки, зараз вже можна більш зважено підійти до питання про висновки і, що ще важливіше, про підходи до запобігання або максимального зниження ризиків подібних кібератак.

Поряд зі зростанням кіберзлочинності та обсягом збитків за результатами атак, відбувається вдосконалення і розробка нових «бізнес-моделей» кіберзлочинів. Крім того, постійно стираються кордони в кіберпросторі, що дозволяє зловмисникам легше масштабувати свої атаки.

Наприклад, такий вид кібератак, як поширення вірусу-шифрувальника (Ransomware), до останнього часу вважався однією з найсерйозніших загроз кібербезпеки у світі, він дозволяє зловмисникам вимагати величезні суми грошей з компаній, які були заражені цим вірусом. Суть Ransomware полягає в тому, що це шкідливе програмне забезпечення (ПЗ) під час  проникнення до системи шифрує дані та блокує їх, тим самим вимагачі отримують предмет торгу і суттєві аргументи на користь виплати їм необхідної суми. Навіть більше, стали з'являтися спеціальні RaaS-сервіси, які пропонують кріптоблокери для скачування з прихованого веб-сервера, доступні будь-якому бажаючому, для отримання доходу від вимагань у криптовалюті.

Ще одним популярним видом шахрайства в мережі є фішинг. Його метою є доступ до конфіденційних даних користувачів. Зазвичай маскуючись під якусь відому організацію, фішери розсилають листи від імені цих організацій з проханням уточнити або доповнити персональні дані клієнта, збираючи таким чином величезні масиви даних і використовуючи їх для отримання несанкціонованого доступу до критичних активів користувача.

Водночас є елементарні процеси, які можуть запобігати масштабним кібератакам. Наводимо базовий рівень захисту, який повинен бути впроваджений на всіх підприємствах, а тим паче – у державних структурах.

• Впровадження ефективного процесу управління оновленнями ПО для підтримки його актуальних версій на всіх вузлах інфраструктури організації. Необхідно впевнитися, що нове оновлення відправлено постачальником послуг і проведено обов'язкове тестування в окремому середовищі на його коректну роботу.
• Впровадження сегментації мережі – логічного поділу мережі на різні сегменти залежно від ступеня важливості – користувачів, серверів тощо. У такому випадку при зараженні шкідливим ПО будь-якої робочої станції загрозу можна локалізувати в межах одного сегмента й тим самим врятувати від зараження всю інфраструктуру компанії.
• Створення, підтримка в актуальному стані та регулярне тестування плану реагування на інциденти кібербезпеки. Оперативна і злагоджена реакція співробітників організації на інцидент дозволить максимально швидко локалізувати сферу поразки і мінімізувати можливі збитки від інфікування вірусом.
  Так, у разі кібератаки Petya/Nyetya вже в перші години поширення вірусу експерти з інформаційної безпеки виявили, якими шляхами він поширюється, і які заходи безпеки слід максимально оперативно впровадити. Ми можемо припустити, що якби в перші години уповноважені особи офіційно заявили у відкритих джерелах про проблему та шляхи запобігання поширенню вірусу, то наслідки могли б бути не такими масштабними.
• Впровадження процесу резервного копіювання критичних даних і регулярного тестування цих копій на можливість відновлення. Слід звернути увагу, що найбільш захищеним методом зберігання резервних копій є технологія запису даних на віддалений носій. Як виявилося, в Україні операцію резервного копіювання проводить лише мала частина компаній. А ті компанії, які все ж таки резервують критичну інформацію, зберігають її на сервері, що знаходиться в загальній інфраструктурі та теж схильний потрапити під вірусну атаку.

Ми озвучили найбазовіші вимоги до захисту даних, які можна назвати найпершою сходинкою піраміди Маслоу, якщо говорити про кібербезпеку. Щоб убезпечити систему від таких потужних атак, як Petya/Nyetya, потрібні додаткові заходи безпеки: робочий процес моніторингу мережевих подій і впровадження обладнання з функцією IPS (системою запобігання вторгнень), які можуть виявити аномальну активність у мережі під час атаки.

Ці процеси вимагають проведення певних робіт і витрат ресурсів. Український бізнес і держава через нерозуміння всієї важливості заходів безпеки і неусвідомленість масштабу наслідків кібератак у своїй більшості відкладають або зовсім відмовляються від таких витрат ресурсів.

Саме тому прийняття закону – важливий етап для України, адже це запускає комплексний процес регулювання кібербезпеки як окремої важливої галузі.

Наступним етапом має стати перелік об'єктів критичної інфраструктури від Кабміну (об'єкти, що мають життєво важливе значення для функціонування держави).

Аналогічний підхід був закріплений і в ЄС. Для систематизації та встановлення мінімальних вимог для всіх країн – членів ЄС була прийнята директива про загальні заходи безпеки мережевих та інформаційних систем у ЄС 2016/1148. Директива зобов'язує держави-члени визначити об'єкти критичної інфраструктури в різних сферах.

Враховуючи досвід західних країн, для таких об'єктів слід впровадити обов'язкові стандарти з кібербезпеки. При цьому навіть немає необхідності в розробці нових стандартів. Можна впроваджувати стандарти ISO (міжнародної організації стандартизації), а також національні стандарти Німеччини, США, Британії, які мають високий технічний рівень.

Ми вважаємо, що впровадження стандартів кібербезпеки повинно мати секторальний характер. Це дозволить враховувати специфіку бізнесу, не втрачаючи комплексного підходу в регулюванні цього питання. Наприклад, для компаній у галузі енергетики встановлюються зовсім інші стандарти, ніж для транспортних.

На сьогодні в деяких сферах регулятор ініціює впровадження обов'язкових стандартів. Зокрема, НБУ ввів обов'язкові стандарти кібербезпеки для банків.

Зрозуміло, в епоху інформаційного суспільства складно повністю уникнути загроз у кіберпросторі. Цифрова епоха привнесла в економіку не тільки позитивні трансформації. Частиною «ціни», яку доводиться платити за інновації в цифровій сфері, є ризики кіберзлочинів, які набувають все більших масштабів. Однак ми сподіваємося, що усвідомлення проблеми державою і бізнесом, створення сучасного правового поля, а також дотримання заходів кібербезпеки значно підвищать рівень стійкості від атак.

Безумовно, неможливо захиститися від усього, але низка превентивних заходів, які вже зараз здатні здійснювати фахівці в кіберсфері та власники бізнесу, можуть запобігти неприємним наслідкам і зберегти гроші.

Запобігання кібератакам – частина комплексних трансформаційних процесів, які почалися в українському бізнесі. Як і в будь-якій галузі, комплексний підхід до вирішення завдань щодо захисту від ризиків і загроз у всіх суміжних сферах, дозволяє запобігти серйозним наслідкам і великим втратам для всього бізнесу в цілому. У цьому сенсі закон і пропонує такий комплексний підхід. Трансформації – це не вибіркові заходи, трансформації – це комплекс, що запускає взаємодоповнюючі механізми.

Підбиваючи підсумки, ми вважаємо, що набрання чинності закону не лише запустить комплексні інфраструктурні зміни в плані визначення понятійного апарату і основних підходів до кібербезпеки, а й оформить саму структуру органів і відомств, залучених до держполітики кібербезпеки країни. Держава і бізнес стануть носіями і активними лобістами культури кібербезпеки в загальних інтересах економічного розвитку.